使用贝叶斯网络来识别0day攻击路径

栏目: 编程工具 · 发布时间: 5年前

内容简介:原文作者:Xiaoyan Sun , Jun Dai, Peng Liu, Anoop Singhal, and John Yen原文标题:Using Bayesian Networks for Probabilistic Identification of Zero-Day Attack Paths

作者: {Esi}@ArkTeam

原文作者:Xiaoyan Sun , Jun Dai, Peng Liu, Anoop Singhal, and John Yen

原文标题:Using Bayesian Networks for Probabilistic Identification of Zero-Day Attack Paths

原文出处:IEEE Transactions on Information Forensics and Security, 2018, 13(10): 2506-2521.

执行各种安全措施(例如入侵检测系统等)可以为计算机网络提供一定程度的保护。但是面对0day攻击,这种安全措施往往不尽如人意。由于攻击者和防御者之间的信息不对称,检测0day攻击仍然是一个挑战。为了更好的检测0day攻击,我们认为在攻击路径上进行检测是一种更加可行的策略,0day攻击路径可以认为是整个攻击路径中包含一个或多个0day攻击。这样认为的原因是攻击者很难确保攻击路径上的所有攻击都是0day攻击,因此可以做出以下假设:

1)可以通过某种方式检测非0day攻击,例如通过入侵检测系统等;

2)可检测的非0day攻击与0day攻击具有一定的链接关系。

在本文中,我们提出了一种概率方法,并实现了原型系统ZePro,用于0day攻击路径识别。在本文的方法中,0day攻击路径本质上是一个图。为了捕获零日攻击,首先通过分析系统调用使用对象实例来构建超图。为了进一步揭示隐藏在超图中的0day攻击路径,我们的系统基于实例图构建贝叶斯网络。通过将入侵证据作为输入,贝叶斯网络能够计算出被感染的对象实例的概率。通过依赖关系连接高概率的实例形成一条路径,即0day攻击路径。

使用贝叶斯网络来识别0day攻击路径

图1系统架构

本文的主要贡献有以下四点:

  • ZePro是第一个采用概率方法来进行0day攻击路径识别的研究。

  • 提出了构建网络范围超图,然后确定隐藏在其中的零日攻击路径。

  • 第一次通过引入对象实例图来构建OS级别的贝叶斯网络。

  • 设计并实现了ZePro,可以有效地自动识别0day攻击路径。

为了进行实验评估,我们构建了一个网络商店测试平台,以模拟小规模的真实企业网络,如图2的攻击场景,整个实验分为了3步进行:

  1. 攻击者利用漏洞CVE-2008-0166通过暴力密钥猜测攻击获得SSH服务器的root权限。

  2. 由于NFS服务器上的导出表未正确设置,攻击者可以将恶意可执行文件上传到NFS上的公共目录。恶意文件包含可以利用特定工作站上的漏洞的特洛伊木马程序。公共目录在测试台网络中的所有主机之间共享,以便工作站可以访问和下载此恶意文件。

  3. 一旦恶意文件被安装并安装在工作站上,攻击者就能够在工作站上执行任意代码。

使用贝叶斯网络来识别0day攻击路径

图2 攻击场景

由于通常很难获得0day漏洞,我们用已知漏洞来进行模拟。例如,假设当前时间是2008年12月31日,CVE-2009-2692被视为0day漏洞。此外,其他安全漏洞(如NFS上的配置错误)也可视为一种特殊类型的未知漏洞,只要这些漏洞不被漏洞扫描程序扫描到即可。

实验结果表明ZePro能够重建攻击故事情节,例如攻击如何发生,访问了哪些文件,以及引发的警报是否具有相关性等,本文方法的一个优点是,即使没有为特定漏洞提供证据,所识别的路径也提供了揭示隐藏漏洞的上下文。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

程序是怎样跑起来的

程序是怎样跑起来的

[日] 矢泽久雄 / 李逢俊 / 人民邮电出版社 / 2015-4 / 39.00元

本书从计算机的内部结构开始讲起,以图配文的形式详细讲解了二进制、内存、数据压缩、源文件和可执行文件、操作系统和应用程序的关系、汇编语言、硬件控制方法等内容,目的是让读者了解从用户双击程序图标到程序开始运行之间到底发生了什么。同时专设了“如果是你,你会怎样介绍?”专栏,以小学生、老奶奶为对象讲解程序的运行原理,颇为有趣。本书图文并茂,通俗易懂,非常适合计算机爱好者及相关从业人员阅读。一起来看看 《程序是怎样跑起来的》 这本书的介绍吧!

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具